454 4.7.0 error de autenticación temporal en Exchange Server

Número de KB original:   979174

Síntomas

En un entorno de Exchange Server, algunos mensajes de correo electrónico se atascan en una cola de entrega remota que debería haberse transferido a otro servidor interno de Exchange en la organización de Exchange.

Si abre la herramienta visor de cola desde el nodo cuadro de herramientas en la consola de administración de Exchange, el campo de último error muestra un mensaje de error similar al siguiente:

451 4.4.0 dirección IP de destino principal respondió con: "454 error de autenticación temporal de 4.7.0." Se intentó realizar una conmutación por error en un host alternativo, pero no se realizó correctamente. No hay hosts alternativos o no se pudo realizar la entrega a todos los hosts alternativos.

Además, puede encontrar el siguiente mensaje de error en el archivo de registro de la aplicación en el servidor de Exchange que recibe el mensaje de correo electrónico:

Tipo de evento: origen del evento de error: MSExchangeTransport categoría del evento: SmtpReceive identificador de evento: 1035 Descripción: error en la autenticación entrante con el error IllegalMessage para el conector de recepción predeterminado <Server> . El mecanismo de autenticación es ExchangeAuth. La dirección IP de origen del cliente que intentó autenticarse en Microsoft Exchange es [SourceIPAddress].

Causa

Este problema se produce si el servidor Exchange no puede autenticarse con el servidor remoto de Exchange. Los servidores de Exchange requieren autenticación para enrutar los mensajes internos del usuario entre los servidores. El problema puede deberse a una de las siguientes razones:

  • El servidor de Exchange está experimentando problemas de sincronización de hora.
  • Hay un problema de replicación entre los controladores de dominio.
  • El servidor de Exchange tiene problemas con el nombre principal de servicio (SPN).
  • El Firewall bloquea los puertos TCP/UDP necesarios para el protocolo Kerberos.

Solución

Para resolver este problema, siga estos pasos:

  1. Compruebe el reloj en los servidores y controladores de dominio que puedan usarse para autenticar los servidores. Todos los relojes deben sincronizarse a menos de 5 minutos.

  2. Fuerce la replicación entre controladores de dominio para ver si hay un problema de replicación.

  3. Compruebe que el nombre principal de servicio (SPN) SMTPSVC se haya registrado correctamente en el servidor de destino.

    • Asegúrese de que las SMTP SMTPSVC entradas y se agregan correctamente a la cuenta de equipo con la herramienta setspn. Por ejemplo:

      SetSPN-L <ExchangeServerName>
      Protocolo <ExchangeServerName>
      SMTP/ <ExchangeServerName> . example.com
      SMTPSVC <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName> . example.com

    • Compruebe si hay SPN duplicados mediante la herramienta SetSPN. Solo debe haber una entrada de cada uno:

      SetSPN-x
      Entrada de procesamiento 0
      se ha encontrado 0 grupo de SPN duplicados.

  4. Compruebe que los puertos necesarios para Kerberos estén habilitados.

  5. Si los pasos anteriores no funcionan, puede activar el registro de Kerberos en el servidor que registra el mensaje del evento 1035, que puede proporcionar información adicional. Para ello, siga estos pasos:

    1. Seleccione Inicio, seleccione Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
    2. Busque la clave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters .
    3. En el menú edición , seleccione nuevo y, a continuación, seleccione valor DWORD.
    4. En el panel de detalles, especifique el nuevo valor LogLevel y, a continuación, presione entrar.
    5. Haga clic con el botón secundario en LogLevel y seleccione modificar.
    6. En el cuadro de diálogo Editar valor DWORD , en base, seleccione decimal.
    7. En el cuadro información del valor , escriba el valor 1 y, a continuación, seleccione Aceptar.
    8. Cierre el Editor del Registro.
    9. Vuelva a comprobar el registro de eventos del sistema en busca de errores de Kerberos.
  6. En el servidor de destino de Exchange, compruebe los conectores de recepción que reciben mensajes de correo electrónico internos y asegúrese de que tienen habilitada la autenticación de Exchange.